Подготовка и укрепление веб-сервера

Отключение родительских путей. Родительские пути представляют собой свойство операционной системы Windows, позволяющее инструкциям командной строки и программам обращаться к родительскому каталогу с помощью двух точек (".."). Это удобный способ перехода по иерархии каталогов для системных администраторов и программистов независимо от того, в каком месте дерева каталогов они находятся. Команде или программе не требуется указывать имя родительского каталога, вместо имени каталога используются две точки.

К сожалению, это опасно с точки зрения защиты информации и сильно облегчает хакеру задачу по написанию автоматизированного эксплоита, который осуществляет проход вверх по каталогам до корневого каталога раздела и затем выполняет атаки на другие ресурсы. Именно поэтому следует отключать родительские пути.

Родительские пути отключаются в окне Web Site Properties (Свойства веб-сайта). Выполните следующее.

1. Запустите IIS Manager. В левой панели окна Internet Information Servces (IIS), показанном на рисунке, щелкните правой кнопкой на имени веб-сайта и выберите пункт Properties (Свойства).
   

   
   
2. Откройте вкладку Home Directory (Домашний каталог) в окне Web Site Properties (Свойства веб-сайта), показанном на рисунке, после чего нажмите на кнопку Configuration (Настройка) для открытия окна Configuration.
   

   
   
3. В окне Application Configuration (Настройка приложений) имеется набор вкладок. Во вкладке App Options (Свойства приложения) имеется опция Enable Parent Paths (Включить родительские пути), как показано на рисунке. Отключите данную опцию и нажмите на OK.
   

   
   
4. Если установлены другие службы IIS (IIS Help или FTP), то примите решение о наследовании отключенных родительских путей. В этом случае после закрытия окна Application Configuration отобразится диалоговое окно Inheritance (Наследование) с вопросом о том, нужно ли применить опцию родительских путей ко всем службам, связанным с веб-сайтом. Следует положительно ответить на этот вопрос и нажать на OK для закрытия окна и подтверждения указанных настроек.

Отключение поддержки ненужных приложений. По умолчанию IIS настроен на поддержку многих файловых расширений. Например, файл .idc представляет собой соединитель с базой данных, используемый для передачи данных между базой данных и службой или формой интернета. При настройке приложений, связывающих файл .idc с поддерживающим HTTP драйвером IIS ODBC httpodbc.dll, IIS считывает информацию о формате из соединителя с базой данных для правильной передачи данных.

Информация в таблице 3.3 взята из руководства NSA по защите IIS. Здесь приведены данные о поддержке некоторых общих файловых расширений приложений, описание каждого расширения.

На некоторых веб-сайтах не используются многие возможности IIS, например, подключение к базам данных и включение поддержки неиспользуемых возможностей. Ненужные расширения приложений также следует отключить в целях безопасности.

Процедура отключения поддержки приложений состоит в следующем.

1. Откройте Internet Information Services Manager (Диспетчер IIS).
2. В левой панели щелкните правой кнопкой мыши на имени веб-сайта и выберите пункт Properties (Свойства). Откройте вкладку Home Directory (Домашний каталог) в окне Web Site Properties (Свойства веб-сайта) и нажмите на кнопку Configuration (Настройка), чтобы открыть диалоговое окно Application Configuration (Настройка приложений).
3. Откройте вкладку App Mappings (Поддержка приложений), показанную на рисунке. Она содержит перечень поддерживаемых по умолчанию приложений. Если перечисленные в табл. 3.3 возможности не используются, отключите поддержку соответствующих приложений, выделив нужный пункт и нажав на кнопку Remove (Удалить). Нажмите на OK для закрытия окно и сохранения изменений.